KRWLEGAL rekomendowana w rankingach IFLR1000 2023 · Rzeczpospolita 2024 · The Legal 500

Konferencja uzgodnieniowa dot. projektu ustawy wdrażającej DORA

Jakie najważniejsze uwagi zostały poddane dyskusji w ramach opiniowania projektu ustawy implementującej rozporządzenie DORA?

28 czerwca 2024

W dniach 25 i 27 czerwca 2024 r. eksperci z Kancelarii Krzysztof Rożko i Wspólnicy mieli przyjemność uczestniczyć w konferencji uzgodnieniowej dotyczącej projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego.

Podczas dyskusji omówiono m.in. trudności legislacyjne związane z jednoczesnym wdrożeniem  rozporządzenia DORA oraz implementacją dyrektywy NIS2. Zarówno DORA , jak i NIS2 regulują pewne szczególne obowiązki podmiotów finansowych w związku z zapewnieniem odporności cyfrowej rynku regulowanego. Na styku tych dwóch aktów prawnych pojawia się wiele kwestii, które należy zaadresować w polskim ustawodawstwie. Przedstawiciele Ministerstwa Finansów wyjaśnili, iż mają świadomość problemu oraz wskazali, że uzgodnienie relacji pomiędzy obydwoma aktami prawnymi, nastąpi w ramach niniejszego procesu legislacyjnego.

Innym zagadnieniem, które wywołało ożywioną dyskusję była kwestia uregulowania katalogu podmiotów objętych zakresem podmiotowym DORA. Jak wskazano w wielu uwagach, katalog podmiotów objętych nadzorem Komisji wg obecnego projektu ustawy jest niepełny. W związku z powyższym, UKNF zaproponował rezygnację z kazuistycznego określania katalogu podmiotów objętych nadzorem Komisji i zastosowanie odesłania w tym zakresie do przepisów rozporządzenia DORA. Z przebiegu dyskusji oraz deklaracji przedstawicieli Ministerstwa Finansów można wywnioskować, że na chwilę obecną, kwestia sposobu uregulowanie katalogu podmiotów objętych nadzorem KNF w zakresie regulacji DORA pozostaje otwarta.

W toku konferencji uzgodnieniowej wiele czasu poświęcono kwestii określenia terminów realizacji obowiązków informacyjnych dot. ustaleń umownych z zewnętrznymi dostawcami ICT uregulowanych w art. 28 ust. 3 rozporządzenia DORA. W szczególności, kontrowersje wzbudził postulat UKNF, dotyczący skrócenia terminu przekazywania rejestrów informacji dot. ustaleń umownych z dostawcami ICT do dnia  24 stycznia każdego roku. Na chwilę obecną kwestia ta nie została rozstrzygnięta.

W dalszej części konferencji poddano również pod dyskusję uwagę de lege ferenda zgłoszoną przez UKNF, dotyczącą postulatu wprowadzenia przepisu umożliwiającego nakazanie podmiotowi finansowemu tymczasowe zawieszenie, w części albo w całości, korzystania z usługi świadczonej przez zewnętrznego dostawcę usług ICT lub jej wdrażania bądź wypowiedzenie, w części lub w całości, stosownych ustaleń umownych zawartych z zewnętrznymi dostawcami usług ICT. Rozporządzenie DORA nadaje już pewne uprawnienia organom nadzoru związane z możliwością wydania nakazu zawieszenia lub zerwania współpracy z dostawcą usług ICT, jednak dotyczą one jedynie kluczowych zewnętrznych dostawców usług ICT. UKNF zaproponował, aby rozszerzyć jej uprawnienia do możliwości nakazania zerwania współpracy z każdym zewnętrznym dostawcą usług ICT. Zgodnie z oceną UKNF takie uprawnienie „ma na celu zapewnić wysoki poziom operacyjnej odporności cyfrowej sektora finansowego, w szczególności, w kontekście zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT”. Uczestnicy rynku wskazali, że tak szerokie uprawnienia UKNF mogą godzić w niezależną ocenę podmiotów związaną z zarządzaniem ryzykiem współpracy ze stronami trzecimi oraz ograniczać swobodę umów.

UKNF wniósł również uwagę de lege ferenda, dotyczącą wprowadzenia przepisu umożliwiającego Komisji uczestniczenie w wymianie informacji w zaufanych społecznościach podmiotów finansowych. Informacje miałyby obejmować zagadnienia dotyczące m.in.: cyberzagrożenia i wyniki analiz takich cyberzagrożeń, w tym oznaki naruszenia integralności systemu, taktykę, techniki i procedury, czy ostrzeżenia dotyczące cyberbezpieczeństwa oraz narzędzia konfiguracji.

W trakcie analizy uwag dotyczących zachowania prywatności osób wywiązała się dyskusja pomiędzy przedstawicielem Urzędu Ochrony Danych Osobowych a przedstawicielem UKNF –  UODO zgłosiło uwagę dotyczącą uregulowania obowiązku zachowania zasad dotyczących ochrony danych osobowych w stosunku do wymiany informacji o zagrożeniach i incydentach - np. adresów IP, tzw. botnetów. W rezultacie w projektowanej ustawie mają zostać wprowadzone regulacje nakazujące poszanowanie prywatności osób fizycznych podczas wymiany informacji pomiędzy podmiotami na rynku regulowanym i UKNF.

W drugim dniu konferencji Ministerstwo przeprowadzono dyskusję na temat uwag zgłoszonych w ramach konsultacji publicznych. Wszystkie uwagi zgłoszone przez Zespół KRWLEGAL zostały przyjęte bez zastrzeżeń lub skierowane do dalszej analizy w celu ustalenia wspólnego rozwiązania nakreślonych problemów.

W trakcie konsultacji szeroko omówiono kwestie związane z outsourcingiem – m.in. zwrócono uwagę, iż projekt ustawy zawęża definicję outsourcingu jedynie do powierzenia czynności związanych z technologiami informacyjno-komunikacyjnymi. ZBP zaznaczył, że „zakres czynności powierzanych w reżimie outsourcingu obejmuje również inny rodzaj czynności”. Odpowiedzią Ministerstwa Finansów było wyjaśnienie, że MF nie chce ingerować w wypracowane definicje dotyczące outsourcingu w ramach tzw. „lex warzywniak”. W trakcie dyskusji podniesiono jednak argument, że „warzywniak” uregulował kwestie outsourcingu tylko dla banków, natomiast dostawcy usług płatniczych nie zostali objęci stosowaniem tej definicji i dlatego należałoby doprecyzować zagadnienia związane z outsourcingiem dla innych uczestników rynku finansowego, którzy podlegają pod DORA. Kwestia pozostała otwarta do dalszej analizy.

Na koniec należy odnotować, że w najbliższych tygodniach Ministerstwo Finansów zapowiedziało intensywne prace nad przygotowaniem zmodyfikowanego projektu ustawy. Na chwilę obecną nie jest pewne, czy zaktualizowany projekt również zostanie poddany konsultacjom publicznym. 

Na podstawie przebiegu prac w ramach konferencji uzgodnieniowej oraz przedstawionych informacji, można również odnieść wrażenie, że zakończenie procesu legislacyjnego w terminie umożliwiającym wejście w życie ustawy z dniem 17 stycznia 2025 r. może być dużym wyzwaniem dla legislatora.

Autor: Daniel Niwiński

Kancelaria prawna KRWLEGAL zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa. w tym świadczy usługi m. in. w doradztwa regulacyjnego dla sektora finansowego, dyrektywy NIS 2, rozporządzenia DORA, doradztwa w zakresie cyberbezpieczeństwa.

Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.

EU Green Bonds. Złoty standard dla emitentów i inwestorów?

3 lipca 2024

Europejski standard zielonych obligacji może okazać się skutecznym narzędziem w realizacji unijnej strategii zrównoważonego finansowania, szczególnie w kontekście pozyskiwania środków na projekty związane z transformacją energetyczną.

Incydenty i cyberzagrożenia – jak sobie z nimi radzić na gruncie DORA?

2 lipca 2024

Podmioty finansowe mają obowiązek dostosować swoją działalność do wymogów Rozporządzenia DORA do dnia 17 stycznia 2025 roku.

Dla nierzetelnego dłużnika nawet zakaz prowadzenia działalności gospodarczej

28 czerwca 2024

Co w przypadku, gdy nierzetelne i niesumienne zachowanie przedsiębiorcy doprowadza do jego upadłości z pokrzywdzeniem innych uczestników obrotu gospodarczego?

Odpowiedzialność zarządu za uchylanie się od egzekucji lub ukrywanie majątku dłużnej spółki

28 czerwca 2024

Celowe unikanie terminowej zapłaty może doprowadzić do utraty płynności finansowej przedsiębiorstwa wierzyciela, co może negatywnie wpłynąć na całą branżę.

  • Kontakt

    ul. Wojciecha Górskiego 9
    00-033 Warszawa

    tel.: 22 295 09 40,
    tel./fax: 22 692 44 74

    e-mail: biuro@krwlegal.pl

    Numer rachunku bankowego:
    45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP

    KRS: 0000576857
    NIP: 5252630217

    REGON: 362543036

    Dołącz do nas:LinkedIn

Krzysztof Rożko i Wspólnicy Kancelaria Prawna informuje, że dane podane na stronach niniejszego serwisu internetowego nie stanowią wiążącej oferty jakichkolwiek usług, w tym usług prawniczych, świadczonych użytkownikom serwisu internetowego, klientom i partnerom Krzysztof Rożko i Wspólnicy Kancelaria Prawna, i podane zostały wyłącznie w celach informacyjnych i reklamowych. Nie stanowią również usługi doradztwa prawnego, a także nie są formą świadczenia pomocy prawnej.

Krzysztof Rożko i Wspólnicy Kancelaria Prawna czasowo dokonuje aktualizacji informacji zawartych w serwisie internetowym. Serwis internetowy został przygotowany również na podstawie informacji publicznie dostępnych i źródeł zewnętrznych uznanych przez Krzysztof Rożko i Wspólnicy Kancelaria Prawna za wiarygodne, ale Krzysztof Rożko i Wspólnicy Kancelaria Prawna nie gwarantuje i nie może zapewnić o ich dokładności, kompletności i wiarygodności. Korzystanie z publikacji umieszczonych na stronie jest dozwolone pod warunkiem poinformowania o autorze publikacji oraz źródle jej pochodzenia.

Otrzymując dostęp do stron serwisu WWW użytkownik przyjmuje do wiadomości, że wszelkie informacje wysyłane za pomocą poczty elektronicznej oraz innych form transmisji poprzez sieć Internet nie mają charakteru poufnego i mogą być narażone na ingerencję osób trzecich.

Krzysztof Rożko i Wspólnicy Kancelaria Prawna nie ponosi odpowiedzialności za treść informacji zawartych na stronach partnerów współpracujących oraz nie ponosi odpowiedzialności za skutki użycia wszelkich informacji lub materiałów dostępnych na stronach partnerów współpracujących. Korzystając z linku użytkownik przechodzi na stronę należącą do innego właściciela. Wszelkie prawa autorskie, znaki towarowe i inne prawa własności intelektualnej, oprogramowanie i wszystkie kody HTML, jak również inne kody zawarte na niniejszej stronie internetowej, pozostają przy Krzysztof Rożko i Wspólnicy Kancelaria Prawna i/lub jego licencjodawcach, i są chronione przez prawo autorskie oraz inne prawa i postanowienia układów międzynarodowych.